«Изучение стандарта „Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий“»

Скачать 120.74 Kb.

Название	«Изучение стандарта „Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий“»
Тип	Техническое задание

rykovodstvo.ru > Руководство эксплуатация > Техническое задание

САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ, МЕХАНИКИ И ОПТИКИ

Кафедра проектирования компьютерных систем

«УТВЕРЖДАЮ»

Заведующий кафедрой ПКС

д.т.н., профессор

______________Гатчин Ю. А.

ЗАДАНИЕ НА КУРСОВУЮ РАБОТУ

по дисциплине «Защита информационных процессов в компьютерных системах»

Студенту группы _ ____Ф.И.О.

Руководитель — д.т.н., профессор Арустамов С. А.

Тема работы: «Изучение стандарта „Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий“».

Срок сдачи проекта: 01 июня 2008 года.
Техническое задание и содержание

1. Внимательно ознакомиться со стандартом ГОСТ Р 15408-2002 (приведен на сайте кафедры). Процесс квалификационного анализа ИТ-продуктов с использованием профилей защиты и заданий по безопасности. ГОСТ Р 15408-2002 — структура и области применения, последовательность формирования требований и спецификаций: среда безопасности, цели безопасности, требования безопасности и краткая спецификация объекта оценки. Парадигма функциональных требований. Представление функциональных требований: классы, семейства (ранжирование, управление, аудит), компоненты (подчиненность по иерархии, зависимости: прямые, косвенные, выбираемые, операции — итерация, назначение, выбор, уточнение), элементы. Примеры функциональных классов.

Парадигма доверия: значимость и причины возникновения уязвимостей, роль оценки. Представление требований доверия: структура класса, семейства, компонента, элемента. Примеры классов доверия. Парадигма поддержки доверия. Оценочные уровни доверия (ОУД1–ОУД7).

2. Задание для каждой подгруппы направлено на детальное ознакомление со стандартом ГОСТ 15408. В частности, с одним семейством в части 2 и одним семейством в части 3 стандарта 15408. Необходимо отобрать для распечатки в курсовую работу из частей 2 и 3 стандарта 15408 указанные ниже разделы по заданным семействам функциональных требований и требований доверия, имея ввиду, что материалы содержатся и в основной части стандарта и в приложениях. Кроме того, каждой подгруппе предлагается задание по анализу одного из разделов частей 1, 2 и 3 стандарта описывающих основные идеи стандарта. В введении к курсовой работе необходимо самостоятельно дать краткий обзор и связь стандартов по безопасности, охарактеризовать и указать место российских нормативных документов РД ГТК РФ и ГОСТ 15408. В заключении следует кратко привести результаты самостоятельного поиска в Интернете по данной тематике: найденные профили защиты, стандарты, материалы конференций и т.п.

3. Следует проанализировать отобранный материал части 2 по заданному семейству функциональных требований, указать функции безопасности, применение которых предполагается в заданном семействе функциональных требований. Указать примеры использования выделенных функций безопасности.

4. Необходимо проанализировать отобранный материал части 3 по заданному семейству требований доверия. Следует указать меры доверия, применение которых предполагается в заданном семействе требований доверия. Указать примеры использования выделенных мер доверия.

5. Содержание курсовой работы. Курсовая работа должна включать: введение (1–2 стр.) с собственной характеристикой места Общих критериев в методологии защиты информации; три раздела по материалам ГОСТ 15408; заключение (1–2 стр.) с результатами самостоятельного поиска, список использованных источников.

6. В качестве приложения к работе рекомендуется привести примерный вариант административной политики безопасности предприятия: общие вопросы, правила работы с рабочими станциями, Интернетом и электронной почтой, подписываемые бизнес-пользователями.

7. Оформление курсовой работы должно соответствовать общим требованиям к текстовым документам, изложенным на соответствующей странице кафедрального сайта. Общий объем курсовой работы — примерно 30 страниц.
8. Рекомендуемый график подготовки материалов:

Введение и Раздел 1 — 20.04.2008; Раздел 2 — 30.04.2008; Раздел 3 — 15.05.2008; Приложение и Заключение — 25.05.2008.

ЗАДАНИЕ К РАЗДЕЛУ 1 КУРСОВОЙ РАБОТЫ

Часть 1. Введение и общая модель

Область применения (часть1, раздел 1).	Вариант 1
Для кого предназначены ОК (часть1, раздел 3.2).	Вариант 2
Контекст оценки (часть1, раздел 3.3).	Вариант 3
Структура ОК (часть1, раздел 3.4).	Вариант 4
Контекст безопасности (часть1, раздел 4.1).	Вариант 5
Подход Общих критериев (часть1, раздел 4.1).	Вариант 6
Понятия безопасности. (часть1, раздел 4.3).	Вариант 7
Описательные возможности ОК (часть1, раздел 4.4).	Вариант 8
Виды оценок (часть1, раздел 4.5).	Вариант 9
Поддержка доверия (часть1, раздел 4.6).	Вариант 10
Требования Общих критериев и результаты оценки (часть1, раздел 5).	Вариант 11
Проект Общих критериев (часть1, приложение А).	Вариант 12
Спецификация профилей защиты (часть1, приложение Б)	Вариант 13

Часть 2 .Функциональные требования безопасности

Область применения функциональных требований (часть 2, вводная часть, разделы 1.1 и 1.2).	Вариант 1
Парадигма функциональных требований (часть 2, вводная часть, разделы 1.3).	Вариант 2
Структура класса и семейства функциональных требований (часть 2, разделы 2.1.1–2.12). Структура и разрешенные операции функционального компонента (часть 2, разделы 2.1.1–2.12)	Вариант 3
Каталог компонентов функциональных требований (часть 2, раздел 2.2).	Вариант 4
Замечания по применению функциональных требований безопасности (часть 2, приложение А).	Вариант 5
Таблица зависимостей функциональных компонентов (часть 2, приложение А, раздел А.2).	Вариант 6

Часть 3. Требования доверия к безопасности

Парадигма доверия в стандарте 15408 (часть 3, вводная часть, разделы 1.1 и 1.2).	Вариант 7
Структура класса и семейства доверия (часть 3, раздел 2.1.1–2.1.4, 2.3)	Вариант 8
Структура компонентов доверия (часть 3, раздел 2.1.3–2.1.4, 2.2, приложение А).	Вариант 8
Структура ОУД (часть 3, раздел 2.1.5 и 2.1.6, приложение Б).	Вариант 9
Обзор оценочных уровней доверия (часть 3, раздел 6.1).	Вариант 10
Оценочный уровень доверия 1 (ОУД1). Функциональное тестирование (часть 3, раздел 6.2.1).	Вариант 11
Оценочный уровень доверия 2 (ОУД2). Структурное тестирование (часть 3, раздел 6.2.2).	Вариант 12
Оценочный уровень доверия 3 (ОУД3). Методическое тестирование и проверка (часть 3, раздел 6.2.3).	Вариант 13

ЗАДАНИЕ К РАЗДЕЛУ 2 КУРСОВОЙ РАБОТЫ
Часть 2 .Функциональные требования безопасности
Класс FAU: Аудит безопасности

FAU_ARP — Автоматическая реакция аудита безопасности.
FAU_GEN — Генерация данных аудита безопасности	Вариант 1
FAU_SAA — Анализ аудита безопасности.
FAU_SAR — Просмотр аудита безопасности.	Вариант 2
FAU_SEL — Выбор событий аудита безопасности.
FAU_STG — Хранение данных аудита безопасности.	Вариант 3

Класс FCO: Связь

FCO_NRO — Неотказуемость отправления.
FCO_NRR — Неотказуемость получения.	Вариант 4

Класс FCS: Криптографическая поддержка

FCS_CKM — Управление криптографическими ключами.
FCS_COP — Криптографические операции.	Вариант 5

Класс FDP: Защита данных пользователя

FDP_ACC — Политика управления доступом.
FDP_ACF — Функции управления доступом.	Вариант 6
FDP_DAU — Аутентификация данных.
FDP_ETC — Экспорт данных за пределы действия ФБО.	Вариант 7
FDP_IFC — Политика управления информационными потоками.
FDP_IFF — Функции управления информационными потоками.	Вариант 8
FDP_ITC — Импорт данных из-за пределов действия ФБО.
FDP_ITT — Передача в пределах ОО.	Вариант 9
FDP_RIP — Защита остаточной информации.
FDP_ROL — Откат.	Вариант 10

Класс FIA: Идентификация и аутентификация

FIA_AFL — Отказы аутентификации.
FIA_ATD — Определение атрибутов пользователя.	Вариант 12

Класс FTA: Доступ к ОО

FTA_LSA — Ограничение области выбираемых атрибутов.
FTA_MCS — Ограничение на параллельные сеансы.	Вариант 13

ЗАДАНИЕ К РАЗДЕЛУ 3 КУРСОВОЙ РАБОТЫ
Часть 3. Требования доверия к безопасности

Класс APE: — Оценка профиля защиты

APE_DES — Описание ОО.
APE_ENV — Среда безопасности.
APE_INT — Введение ПЗ.	Вариант 1
APE_OBJ — Цели безопасности.
APE_REQ — Требования безопасности ИТ.
APE_SRE — Требования безопасности ИТ, сформулированные в явном виде.	Вариант 2

Класс ASE: Оценка задания по безопасности

ASE_DES — Описание ОО..
ASE_ENV — Среда безопасности.
ASE_INT — Введение ЗБ.
ASE_OBJ — Цели безопасности.	Вариант 3
ASE_PPC — Утверждения о соответствии ПЗ.
ASE_REQ — Требования безопасности ИТ.
ASE_SRE — Требования безопасности ИТ, сформулированные в явном виде	Вариант 4
ASE_TSS — Краткая спецификация ОО.

Класс ACM: Управление конфигурацией

ACM_AUT — Автоматизация УК.
ACM_SCP — Область УК.	Вариант 5

Класс ADO: Поставка и эксплуатация

ADO_DEL — Поставка.
ADO_IGS — Установка, генерация и запуск.	Вариант 6

Класс ADV: Разработка

ADV_FSP — Функциональная спецификация.
ADV_HLD — Проект верхнего уровня.
ADV_IMP — Представление реализации.
ADV_INT — Внутренняя структура ФБО.	Вариант 7
ADV_LLD — Проект нижнего уровня.
ADV_RCR — Соответствие представлений.
ADV_SPM — Моделирование политики безопасности.	Вариант 8

Класс AGD: Руководства

AGD_ADM — Руководство администратора.
AGD_USR — Руководство пользователя.	Вариант 9

Класс ALC: Поддержка жизненного цикла

ALC_DVS — Безопасность разработки.
ALC_FLR — Устранение недостатков.
ALC_LCD — Определение жизненного цикла.
ALC_TAT — Инструментальные средства и методы.	Вариант 10

Класс ATE: Тестирование

ATE_COV — Покрытие.
ATE_DPT — Глубина.
ATE_FUN — Функциональное тестирование.
ATE_IND — Независимое тестирование.	Вариант 11

Класс AVA: Оценка уязвимостей

AVA_CCA — Анализ скрытых каналов.
AVA_MSU — Неправильное применение.
AVA_SOF — Стойкость функций безопасности ОО.
AVA_VLA — Анализ уязвимостей.	Вариант 12

Класс AMA: Поддержка доверия

AMA_AMP — План поддержки доверия.
AMA_CAT — Отчет о категорировании компонентов ОО
AMA_EVD — Свидетельство поддержки доверия.
AMA_SIA — Анализ влияния на безопасность.	Вариант 13

Библиографический список

ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. — М.: Изд-во стандартов, 2002. — 527 с.
Руководство по разработке профилей защиты и заданий по безопасноcти. ISO/IEC 15446: 2000. Information technology. Security techniques. Guide for the production of protection profiles and security targets. — 156 p.
Сидак А.А. Формирование требований безопасности современных сетевых информационных технологий. Серия «Безопасность информационных технологий» - М.: МГУЛ, 2001. –278с.
Оценка безопасности информационных технологий/А.П.Трубачев и др. — М.: Изд-во СИП РИА, 2001. — 356с.
Общие критерии оценки безопасности информационных технологий: Учеб. пособие/Под ред. М.Т.Кобзаря, А.А.Сидака. — М.: МГУЛ, 2001. — 81с.
Кобзарь М.Т., Сидак А.А. Методология оценки безопасности информационных технологий по Общим критериям//Инф. бюлл. Jet Info. — 2004. — N6 (133). — 16c.
Безопасность информационных технологий. Межсетевые экраны корпоративного уровня. Профиль защиты (первая редакция). — Инфосистемы Джет. — 53 c.
Безопасность информационных технологий. Межсетевые экраны провайдерского уровня. Профиль защиты (первая редакция). — Инфосистемы Джет. — 49 c.
Профиль защиты межсетевых экранов прикладного уровня для сред низкого риска. Application-level Firewall. Protection Profile For Low-Risk Environments. Version 1.d //U.S. Department of Defense — July 20, 1999. — 64 p.
Профиль защиты межсетевых экранов трафикового уровня для сред низкого риска.Traffic-Filter Firewall. Protection Profile For Low-Risk Environments. Version 1.1//U.S. Department of Defense — April 1999. — 59 p.
Профиль защиты межсетевых экранов трафикового уровня для сред средней робастности.Traffic-Filter Firewall. Protection Profile For Medium Robustness Environments. Version 1.4//U.S. Department of Defense — May 1, 2000. — 52 p. (http://www.radium.ncsc.mil/tpep).
CC Profiling Knowledge Base™. User Guide. Profiling Assumptions, Threats, and Policies. Through Objectives to Requirements. Version 1.0 j, k. — NIAP, May, 2000. — 94 p. (http://niap.nist.gov).
ГОСТ Р 52611-2006 Системы промышленной автоматизации и их интеграция. Средства информационной поддержки жизненного цикла продукции. Безопасность информации. Основные положения и общие требования.
ГОСТ Р 52633-2006 Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации.
ГОСТ Р ИСО/МЭК 15408-1-2002, 15408-2-2002, 15408-3-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1, Часть 2, Часть 3.
ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.
http://www.iccconference.com/
http://www.radium.ncsc.mil/tpep/library/ccitse/index.html
http://www.cesg.gov.uk/site/iacs/index.cfm?menuSelected=1&displayPage=19
http://www.cesg.gov.uk/
http://www.jetinfo.ru/
http://www.cbi-info.ru/map/
http://www.ssga.ru/
http://www.5ballov.ru/
http://en.wikipedia.org/wiki/Category:Computer_security_procedures

Дата выдачи задания ___________________ 2008 года
Руководитель ________________________________________________ д.т.н., профессор Арустамов С. А..
Студент _____________________________________________(__________________)

Похожие:

	Рекомендации по оценке безопасности и долговечности газопроводов при проектировании Содержат методику оценки конструкционного риска различных участков газопровода, критерии оценки их социальной, промыш-ленной и экологической...		Рекомендации по оценке безопасности и долговечности газопроводов при проектировании Содержат методику оценки конструкционного риска различных участков газопровода, критерии оценки их социальной, промыш-ленной и экологической...
	Руководящий документ безопасность информационных технологий Эта часть ок определяет требования доверия к безопасности и включает в себя оценочные уровни доверия (оуд), определяющие шкалу для...		Разработка методов обеспечения безопасности использования информационных...
	План Вступление Охрана труда в кабинете информационных технологий... Охрана труда в кабинете информационных технологий – довольно важная часть учебного процесса. Нарушение действующих норм охраны труда...		Сокр лекции для заочников Введение. Цели и задачи дисциплины. Основные термины и определения. Условия труда. Принципы обеспечения безопасности. Средства обеспечения...
	О пожарной безопасности в Департаменте информационных технологий Ханты-Мансийского Министерства Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий...		Автоматизированные системы обработки информации», «Электронные вычислительные... «Искусственный интеллект», «Программное обеспечение информационных технологий»
	Техническая политика ао «книрти» в области информационных технологий... Техническая политика ао «книрти» в области информационных технологий и информационной безопасности		Меры обеспечения безопасности и приватности для Федеральных информационных... B (3), Обеспечение безопасности информационных систем агентств, как указано в Циркуляре a-130, Приложение IV: Анализ ключевых разделов....
	Ульяновский государственный технический университет «Программная инженерия» магистерская программа «Методы и средства разработки программных систем» на кафедре «Информационные системы»...		Разработка методов обеспечения безопасности использования информационных... Работа выполнена в Федеральном государственном образовательном бюджетном учреждении высшего профессионального образования Сибирский...
	М. В. Андреев 09 февраля 2015 года политика информационной безопасности... Основные принципы обеспечения информационной безопасности информационных систем персональных данных администрации Новоузенского муниципального...		Инструкция администратора безопасности в Муниципальном учреждении... Ава и обязанности администратора безопасности по вопросам обеспечения информационной безопасности при обработке персональных данных...
	Факультет информационных технологий утверждаю Рабочая программа предназначена для бакалавров кафедр Информатики и математики и Информационных технологий как очной, так и заочной...		1. Основные определения и понятия информации, информационных технологий... В отечественной общеобразовательной школе в последние годы компьютерная техника и другие средства информационных технологий стали...

Руководство, инструкция по применению

«Изучение стандарта „Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий“»

ЗАДАНИЕ НА КУРСОВУЮ РАБОТУ

Студенту группы ___________ ______________Ф.И.О.

Руководитель — д.т.н., профессор Арустамов С. А.

Похожие:

Студенту группы _ ____Ф.И.О.